CloudHSM CLI を使用して CLOUDHSM-AES-GCM でキーをラップする - AWS CloudHSM
ユーザーのタイプ要件Syntax引数関連トピック

CloudHSM CLI を使用して CLOUDHSM-AES-GCM でキーをラップする

CloudHSM CLI の key wrap cloudhsm-aes-gcm コマンドを使用して、ハードウェアセキュリティモジュール (HSM) の AES キーと CLOUDHSM-AES-GCM ラップメカニズムを使用してペイロードキーをラップします。ペイロードキーの extractable 属性を true に設定する必要があります。

キーの所有者、つまりキーを作成した Crypto User (CU) のみがキーをラップできます。キーを共有するユーザーは、キーを暗号化オペレーションで使用できます。

key wrap cloudhsm-aes-gcm コマンドを使用するには、まず AWS CloudHSM クラスターに AES キーが必要です。CloudHSM CLI で対称 AES キーを生成する コマンドと true に設定された wrap 属性でラップするための AES キーを生成できます。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto User (CU)

要件

  • このコマンドを実行するには、CU としてログインする必要があります。

Syntax

aws-cloudhsm > help key wrap cloudhsm-aes-gcm
Usage: key wrap cloudhsm-aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help

この例では、AES キーを使用して key wrap cloudhsm-aes-gcm コマンドを使用する方法を示しています。

aws-cloudhsm > key wrap cloudhsm-aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64 --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "6Rn8nkjEriDYlnP3P8nPkYQ8hplOEJ899zsrF+aTB0i/fIlZ"
  }
}

引数

<CLUSTER_ID>

このオペレーションを実行するクラスターの ID。

必須: 複数のクラスターが設定されている場合。

<PAYLOAD_FILTER>

ペイロードキーを選択する attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式のキー属性のキーリファレンス (例: key-reference=0xabc) またはスペース区切りリスト。

必須: はい

<PATH>

ラップされたキーデータを保存するバイナリファイルへのパス。

必須:いいえ

<WRAPPING_FILTER>

ラッピングキーを選択する attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式のキー属性のキーリファレンス (例: key-reference=0xabc) またはスペース区切りリスト。

必須: はい

<AAD>

AES GCM 追加認証データ (AAD) 値 (16 進数)。

必須:いいえ

<TAG_LENGTH_BITS>

AES GCM タグの長さ (ビット単位)。

必須: はい

関連トピック